Slide 1
Slide 1 text
re:Inforce 2023のアップデートを得た
現代のAWSセキュリティ運⽤⽅法
(GuardDuty/Detective編)
AWS re:Inforce 2023 re:Cap Seminar - 夜の部
1
Slide 2
Slide 2 text
2
こんにちは、⾅⽥です。
みなさん、
AWSのセキュリティ対策してますか︖(挨拶
Slide 3
Slide 3 text
3
⾃⼰紹介
⾅⽥佳祐(うすだけいすけ)
・クラスメソッド株式会社 / AWS事業本部
シニアソリューションアーキテクト
セキュリティチームリーダー
AWS公認インストラクター
2021 APN Ambassador
2023 APN AWS Top Engineers (Security)
・CISSP
・Security-JAWS運営
・好きなサービス:
Amazon GuardDuty
AWS Security Hub
Amazon Detective
みんなのAWS
(技術評論社)
Amazon GuardDuty AWS Security Hub Amazon Detective
Slide 4
Slide 4 text
4
re:Inforce 2023お疲れ様でした
ちょー楽しかったです
Slide 5
Slide 5 text
5
re:Inforce 2023のアップデート
この2つを使った運⽤⽅法の紹介をします
https://dev.classmethod.jp/articles/guardduty-summry-
dashboard/
https://dev.classmethod.jp/articles/detective-support-
finding-group-visualization/
Slide 6
Slide 6 text
6
GuardDutyのサマリーダッシュボード
Slide 7
Slide 7 text
7
Detectiveの検出結果グループ
Slide 8
Slide 8 text
8
アジェンダ
1. 理想のセキュリティ運⽤
2. 想定環境
3. GuardDutyのサマリーダッシュボード活⽤
4. Detectiveの検出結果グループ活⽤
5. さいごに
Slide 9
Slide 9 text
9
1. 理想のセキュリティ運⽤
Slide 10
Slide 10 text
10
理想のGuardDutyの状態
Slide 11
Slide 11 text
11
理想のGuardDutyの状態
Slide 12
Slide 12 text
12
理想の状態への道筋
AWS環境の堅牢化ができていれば、W-Aに従い
適切にセキュリティ運⽤されていればめったに検
知は来ない
検知が出るなら、全件潰しこみましょう
Slide 13
Slide 13 text
13
2. 想定環境
Slide 14
Slide 14 text
14
想定環境
今回紹介する運⽤のメインの想定環境
• AWSアカウントが50とか100とかたくさんある環境
• 検知が⼤量に出ているけど放置している環境
ここでサマリーダッシュボードが効果を発揮する
Slide 15
Slide 15 text
15
もしかして
AWSアカウントがたくさんあって、全体で
GuardDutyを有効化してないですか︖
今すぐ全体で有効化しましょう
Slide 16
Slide 16 text
16
対応の進め⽅
AWSアカウントはたくさんあって、GuardDutyは有
効化しているけど、ちゃんと⾒てない場合
これから説明する⼿順で運⽤を始めてみてね
※検出結果の個別の対応⽅法は割愛します
Slide 17
Slide 17 text
17
3. GuardDutyのサマリーダッシュボード活⽤
Slide 18
Slide 18 text
18
ダッシュボードのウィジェットの種類
• 概要
• 重⼤度別の検出結果
• 最も⼀般的な検出結果タイプ
• 最も多い検出結果を含むリソース
• 最も多く検出したアカウント
• 最も低頻度の検出結果
それぞれ活⽤のポイントがある
Slide 19
Slide 19 text
19
概要
• まずは⾼の検知があるか確認する
• ⾼のイベントは特に危険なものが多い、実際にやら
れている可能性が⾼い
• AWSアカウントの重要度をベースにチェックしてい
こう
Slide 20
Slide 20 text
20
最も低頻度の検出結果
特にこれは要チェック
定常的に検知がある環境
ではノイズを減らしてよ
り重要なものを確認でき
る
Slide 21
Slide 21 text
21
最も⼀般的な検出結果タイプ
特に多いタイプのグラフ
おそらく問題のある設定
やアーキテクチャにより
検知されている
例えばSecurity Groupで
SSHを開放している
堅牢化する必要がある項
⽬を⾒つけられる
Slide 22
Slide 22 text
22
最も多い検出結果を含むリソース
これらのリソースは格好の的
重要なリソースであれば即対応
Slide 23
Slide 23 text
23
4. Detectiveの検出結果グループ活⽤
Slide 24
Slide 24 text
24
GuardDutyとDetectiveの違い
Detectiveでは複数の検知を繋げて確認する
Slide 25
Slide 25 text
25
検出結果グループを使った調査
繋げて攻撃の流れがMITRE ATT&CKの戦術にマッピングして
表⽰される
⾼のイベントがあったら、特にグループが作られていないか確
認する
例えばEC2に対するポートプローブから始まって、SSHブルー
トフォース成功、Outsideでクレデンシャル漏洩
S3漏洩などのシナリオで簡単に流れを確認しRoot Causeが
確認できる
Slide 26
Slide 26 text
26
5.さいごに
Slide 27
Slide 27 text
27
⼀通り調査と対応が終わったら
まず検知が上がっているところから暫定対処していく
終わったらSecurity Hubによる堅牢化を全体で⾏いつ
つ、堅牢化するための内容を設計指針や共通テンプレー
トなどに反映・周知していく
それでも起きるときは起きるので通知を受け取り即時対
応できるようにして、セキュリティチームはその運⽤に
注⼒する
仕組み化して堅牢なAWS運⽤をしよう
Slide 28
Slide 28 text
28